Risque
- Atteinte à la confidentialité des données
Systèmes affectés
Servlet WebDAV du logiciel Apache Tomcat et logiciels l'utilisant :
- Apache Tomcat, branches 4, 5 et 6 ;
- Apache Geronimo, branches 1 et 2 ;
- Apache Jakarta Slide, branche 2 ;
- IBM Websphere.
Cette liste n'est pas limitative.
Résumé
Une vulnérabilité dans la servlet WebDAV du logiciel Apache Tomcat permet à un utilisateur malveillant d'accéder à des informations sensibles à distance.
Description
Dans certaines configurations, des requêtes spécialement marquées permettent à un utilisateur distant de lire tout fichier. Cette vulnérabilité permet à un utilisateur malveillant d'accéder à des informations sensibles à distance.
Cette servlet est utilisée dans d'autres logiciels, les rendant également vulnérables.
Solution
Les versions de Tomcat 5.5 SVN et 6.0 SVN corrigent le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg21286112 du 01 novembre 2007 : http://www-1.ibm.com/support/docview.wss?uid=swg21286112
- Bulletin du projet Apache Geronimo : http://geronimo.apache.org/2007/10/18/potential-vulnerability-in-apache-tomcat-webdav-servlet.html
- Bulletins de sécurité du projet Apache Tomcat : http://tomcat.apache.org/security-4.html
- Bulletins de sécurité du projet Apache Tomcat : http://tomcat.apache.org/security-5.html
- Bulletins de sécurité du projet Apache Tomcat : http://tomcat.apache.org/security-6.html
- Référence CVE CVE-2007-5461 : https://www.cve.org/CVERecord?id=CVE-2007-5461
- Référence CVE CVE-2007-5461 https://www.cve.org/CVERecord?id=CVE-2007-5461
